eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
まんがをお得に買うなら、無料で読むなら、品揃え世界最大級のまんが・電子書籍販売サイト「ebookjapan」!豊富な無料・試し読みまんがに加えて、1巻まるごと無料で読めるまんがも多数!割引・セールも毎日実施!新刊も続々入荷!
twitterでは以前からパスワード設定時に辞書による「ありがちなパスワードチェック」がありましたが、facebookでも辞書によるチェックを始めたようです。 上記は「password!」というパスワードを設定しようとして、弾かれたところです。 昨今パスワードに対する攻撃が活発になっているので、このような「ありがちなパスワードチェック」を取り入れるサイトが増えるとよいですね。
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
에버노트에 뭐가 새로워요?에버노트에서 무슨 일이 일어나고 있는지 궁금하신가요? 아래의 기사들을 확인하여 우리가 작업 중인 흥미로운 것들을 모두 볼 수 있습니다. 새로운 소식레거시 버전 Evernote 앱 사용 중지2024년 3월 26일, 저희는 레거시 버전 Evernote 앱에 작별을 고합니다. v10 이전의 Evernote 경험을 단일화하면 보안 수준을 크게 높이고 더 빠른 개발을 위해 더 많은 자원을 투입할 수 있습니다. 더 읽기 14가지 주요 기능이 이제 모든 사용자에게 제공됩니다이 중요한 Evernote 기능들은 검색, 첨부 관리, 노트 액세스 등 핵심적인 제품 성능을 높여줍니다. 이제 누구나 그 기능을 사용해 Evernote의 잠재성을 최대한 활용할 수 있습니다.
Googleアカウントへの不正アクセスを防ぐ方法として「2段階認証」がある。2段階認証ではログイン時にユーザー名およびパスワードに加え、携帯電話に送信されたパスコードが要求されるというものだ。しかし、これをを回避する方法がDuo Securityによって発見された(本家/.)。 幸いDuo Securityは良心的なチームだったため、この問題はGoogleのセキュリティチームへ報告され修正された。しかし一度は仕様だと断り、修正に半年もかかったという。このプロセスは改善してほしいところである。 発見された手法は、「アプリケーション固有のパスワード(ASP)」を利用するもの。GmailやGoogleカレンダーなどにアクセスする一部アプリケーションでは2段階認証が利用できないため、Googleはそれらのアプリケーション向けに専用のパスワードであるASPを生成する方法を用意している。しかし、このA
昨日の記事はだいぶ注目を集めたようです。今日は自分向けの技術的なメモです。 パスワード等に使うのにSHAなどのよく知られたハッシュ関数ではなぜダメなのか? パスワード用のハッシュ関数は何が違うのか? という話です。なお、今回はほんとに昨日今日でいろいろ仕入れたもののため、中身も薄いし間違ってるかもしれません(また、個別のアルゴリズムやテクニックなどは陳腐化しやすいので、後日にはいろいろ変わっていることでしょう)。その辺は注意してください。 ネタ元は http://throwingfire.com/storing-passwords-securely/#notpasswordhashes など 、あと https://plus.google.com/102550604876259086885/posts/4eoNnNSQ7W6 にコメントをいただいた皆さん(ありがとうございます!)。 で。
先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。 この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encrypted/salted password と呼ばれていたものが、日本語の公式ブログでは「暗号化されたパスワード」となり、これが朝日新聞では「パスワード」と表記されているという問題です。 専門知識があれば、ここにどういう違いがあるかはわかるのですが、そうでなければわからないのも無理はありません。しかし、わからないからといって省略して良いわけでもありません。パスワードと encrypted/salted password は大きく異なります。 ではどう違うのか? この話について、ひと通りの解説をしてみるのも良いのではないかな、と思ったのでしてみます。 「パスワード」は保存されない
すでにニュースでお読みになられた方も多いと思いますが、このところ、アメリカのテクノロジーとメディア企業を対象にした大規模なセキュリティ攻撃が行われています。この2週間にNew York Times、Wall Street Journalがシステムを、またAppleやMozillaはもともと設定されているJava(プログラムのひとつ)をオフにされました。 今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。 該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザ
昨日のブログエントリ「楽天koboのログイン画面にも「パスワードの表示」ボタンがついた」に対して、twitterでコメントを頂戴しました。 そういえばIE10には目アイコン(マウスボタン押下している間伏せ字解除)が付いてたような…… QT @ockeghem: 日記書いた 楽天koboのログイン画面にも「パスワードの表示」ボタンがついた - ockeghemのtumblr bit.ly/Tnk0I8 11月 11, 2012手元のノートPCにWindows8を導入してIE10のパスワード欄を確認したら、確かに目アイコン(というのかな?)があり、マウスボタンを押下している間だけパスワードを表示しますね。 以下は、Windows8上のIE10で、evernoteのログイン画面を表示しているところです。IDとパスワードは架空のものです。 上記のように、通常はパスワードが伏せ字になっていますが、パ
マスターカード(MasterCard)が、キーパッドとディスプレイを内蔵する「Display Card」という名の新しいクレジットカードを発表。スタンダード・チャータード銀行(Standard Chartered)がすでに導入を決めており、来年1月にまずシンガポールでこのカードを提供する予定だという。 [ubergizmo] BBCによると、このDisplay Cardはオンライン・バンキングなどの用途を想定して考えられたもので、カード自体にワンタイムパスワードの生成機能を内蔵、ユーザーは液晶ディスプレイに表示されたパスワードをキーボードから入力して、本人確認を行うという仕組み。現在使われているワンタイムパスワード生成要のトークンが利便性の点であまり評判がよくないことから、この機能を「クレジットカード、デビットカード、キャッシュカードに盛り込むことにした」と同カードの導入を決めているスタン
■ My docomoはパスワードのコピペを禁止するな 今回SoftBankからdocomoにMNPしたので請求書の確認なんかをするのにWebサイトに登録しないといけないなと思って、My docomoにユーザ登録をした。携帯との紐付けにワンタイムパスワードをSMSで送ってきたりして、ほぼPCだけで完結する手順はまぁまぁわかりやすかったのだけど、パスワードを決めるところで途方に暮れてしまった。 8~20文字の英数記号と書いてあるので、いつものようにKeePass Password Safeで最大文字数・文字種のパスワードを生成し、さぁ入力、という段になってこれである: もうね、これでセキュリティが高まると思ってるんだとしたら大間違いだってことにそろそろ気づけよ。こんなこと言われたら、短くて入力しやすい文字種のパスワードしか作らないに決まってるだろ。この仕様を決めたのが発注者か開発者か知らんけ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Yahoo!Japan IDは、現在は新規登録時に必ず『秘密の「質問」と「答え」』の登録が義務づけられており、パスワードリセットなどで用いられます。 そして、この『秘密の「質問」と「答え」』は、いったん登録すると変更することができません。 秘密の「質問」と「答え」の内容は、Yahoo! JAPAN IDの登録後に、確認および変更できません。 http://help.yahoo.co.jp/help/jp/edit/edit-43.html しかしながら、『秘密の「質問」と「答え」』の質問の方は、あらかじめ用意された選択肢から選ぶようになっており、第三者が予測できそうなものが多いのが現状です。 子どものころのあだ名は?初めて買った曲のタイトルは?初恋の人の名前は?子どものころの夢は?座右の銘は?初めて飼ったペットの名前は?祖父の下の名前は?生まれた病院は?初めて行った海外の国・地域は?小学1
こうなってるの知らなかった。 Dropbox はアプリケーション経由で使うので ブラウザからログインすることはそうそう頻繁にはないんだけど ちょっとやりたいことがあって入ろうとしたら何かおこられた。 パスワードを変更しないと入れてもらえないみたい。 銀行なんかのサービスで 「前回のパスワードを変更からけっこう経ったし、そろそろ変えなさいよ」 と言われることはあるけど、 しばらく変えてないと入れなくなって変更を強要されるのは初めてみた。 これがいいとか悪いとか言いたいわけじゃなくて、 Dropbox はそういう方針でやってるんだなあ、という話。 運営側がユーザーに安全なアカウント管理を求めていて 促すだけじゃやらないだろうからこのような仕組みにしてあるのでしょう。 ただ、前と同じパスワードを入れてもすんなり通るのはどうなんだろう、とは思う。
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く